The English version of this article was published on the ENow ESE blog.

Wenn sich Anwender beim IT-Support melden, dass E-Mail-Nachrichten fälschlicherweise in den Junk-E-Mail-Ordner des Exchange Online Postfaches zugestellt werden, liegt der Grund häufig in einer Fehlkonfiguration der Exchange Online Protection Einstellungen. Dies betrifft insbesondere Exchange Hybrid-Konfigurationen, die den zentralisierten Nachrichtenfluss nutzen.

In unserem Beispiel erhält ein Empfänger der Domäne varunagroup.de eine Nachricht von einem Absender in der Domäne setebos-ag.com.

Zur Erinnerung, bei Nutzung des zentralisierten Nachrichtenflusses erfolgt die Zustellung von eingehenden Nachrichten aus dem Internet an die On-Premises Exchange Organisation. Die Nachrichten für Empfänger mit einem Postfach in Exchange Online werden über die abgesicherte hybride SMTP-Strecke zu Exchange Online zugestellt. Hierzu hat der Hybrid Configuration Wizard die erforderlichen Konnektoren in der On-Premises Organisation und in Exchange Online erstellt. Das folgende Bild verdeutlicht diese Konfiguration

Aber warum werden nun eingehende Nachrichten in den Junk-E-Mail-Ordner zugestellt?

Warum?

Um zu verstehen, warum Nachrichten „falsch“ zugestellt werden, müssen wir einen Blick in die Kopfinformationen der Nachrichten werfen. Sie finden diese Informationen in den Eigenschaften der betroffenen Nachricht. Kopieren Sie die Kopfinformationen in die Zwischenablage und prüfen Sie in Informationen mit einem der im Internet verfügbaren Message Header Analyzer . Ich nutze hierzu bevorzugt den Analyzer von Microsoft, da er direkt Informationen zu den Forefront Antispam Headern aufbereitet. Ergänzend nutze ich den Analyzer von MX Toolbox, da dieser Prüfungen zu DMARC, SPF und DKIM inkludiert.

Das folgende Beispiel zeigt die Forefront Antispam Report Header der Kopfinformationen einer Nachricht, die Exchange Online in den Junk-E-Mail-Ordner zugestellt hat.

Die Forefront-Komponenten der Exchange Online Protection haben die Nachricht als Spam klassifiziert, da der Spam Confidence Level von 5 bewertet wurde. Nachrichten in diesem Mandanten ab einem Wert von 5 als Spam eingestuft werden.

Jeder Exchange Online Mandant verfügt über Standard-Antispam Richtlinien für eingehend und ausgehende Nachrichten, die nicht deaktiviert werden können. Können die Konfigurationen dieser Richtlinien allerdings anpassen. Die Richtlinie für eingehende Nachrichten hat also für die Einstufung als Spam auf Basis der SCL-Bewertung von 5 geführt. Die eigentliche Frage ist aber, warum wird diese Nachricht überhaupt mit einem Wert von 5 bewertet?

Hierzu müssen wir einen Blick auf andere Kopfinformationen werfen.

In den Kopfinformationen können wir erkennen, dass die Prüfung des SPF DNS-Eintrages für die Absenderdomäne setebos-ag.com fehlgeschlagen ist (spf=fail). Exchange Online Protection prüft die IP-Adresse des einliefernden Systems im SPF-Eintrag der Absenderdomäne als gültiges System eingetragen ist. Da die Nachricht in diesem Fall von einem „internen“ System des Empfängers zugestellt wird, kann diese IP-Adresse niemals Bestandteil der SPF-Konfiguration der Absenderdomäne sein.

Das folgende Diagramm verdeutlicht das Problem noch einmal grafisch.

Was liegt nun näher, als die Prüfung dieser IP-Adresse in Exchange Online Protection zu überspringen?

Im Microsoft 365 Defender Portal finden Sie Regeln zur Konfiguration der erweiterten Filterung für eingehende Konnektoren in Exchange Online. Sie sind Bestandteil der Bedrohungsrichtlinien.

Die Übersicht für die erweiterte Filterung finden Sie alle konfigurierten eingehenden Konnektoren für Exchange Online. Um das Problem der fehlerhaften SPF-Prüfung zu lösen, müssen wir in diesem Fall den Konnektor auswählen und die Einstellung „Automatisch erkennen und die letzten IP-Adresse überspringen“ auswählen.

Hinweis

In der Übersicht der Konnektoren erscheinen nur die eingehenden Konnektoren die für die E-Mail-Server Ihrer Organisation konfiguriert sind. Die Konnektoren für Partner Organisatoren werden nicht aufgeführt.

Ebenso konfigurieren wir die Filterung der IP-Adresse für die gesamte Organisation. Nach dieser Anpassung sollten nach kurzer Zeit eingehende Nachrichten nicht mehr in den Junk-E-Mail-Ordner zugestellt werden.

Sollten Sie eine alternative Konfiguration zur SMTP-Anbindung an Exchange Online nutzen, so müssen Sie u.U. eine der beiden anderen Optionen nutzen. Weitere Informationen zur erweiterten Filterung für eingehende Konnektoren finden Sie in der Online-Dokumentation.

Das SMTP-Protokoll, Exchange Server und Exchange Online erlauben eine Vielzahl an unterschiedliche Konfiguration zwischen einer lokalen Exchange Organisation und Exchange Online. Exchange ist in dieser Hinsicht ein sehr liberales Produkt. Sie können beliebige Produkte als SMTP-Gateway (On-Premises oder Cloud) nutzen, von denen einige auch eine direkte Anbindung zu Exchange Online bieten. Diese Art der SMTP-Verbindung ist keine hybride SMTP-Verbindung, unterliegt aber ebenfalls dem gleichen Fehlerrisiko.

Die Kopfinformationen einer E-Mail-Nachricht enthalten alle Informationen, die die Zustellung einer E-Mail-Nachrichten betreffen. Alle Systeme, die eine Nachricht durchläuft, hinterlassen mehr oder weniger ihre Spuren in den Kopfinformationen. Dies hilft Ihnen bei der Fehleranalyse.

Wenn Sie die Antispam Header Informationen selbst analysieren möchten, empfehle ich Ihnen das Python-Skript decode-spam-headers.py auf Github.

Links

• Message Header Analyzer (MHA)
• Anti-spam message headers in Microsoft 365
• Enhanced Filtering for Connectors in Exchange Online
• Decode Spam Headers – Python Script
  

Viel Spaß mit Exchange Online.